Die Story von Rachel
Nahtloser und sicherer Zugang für alle Identitäten
Für Rachel beginnt ein geschützter und produktiver Tag mit einem nahtlosen, sicheren Zugang. Sie hat gerade ihre Kinder in der Schule abgesetzt, eine Tasse Kaffee getrunken und meldet sich nun von ihrem Heimbüro aus mit adaptiver Multi-Faktor-Authentifizierung (MFA) an ihrem Laptop an. Wenn Rachel "an die Tür klopft", um Zugang zum Unternehmensnetzwerk anzufordern, wird dieses "Klopfen" mit ihren historischen Benutzerverhaltensdaten verglichen, die zeigen, dass sie sich normalerweise gegen 8:30 Uhr EDT von einer IP-Adresse in der Gegend von Philadelphia aus anmeldet - genau das, was sie jetzt tut. Wenn verdächtige Aktivitäten auftreten, wie z. B. mehrere fehlgeschlagene Anmeldeversuche, wird sie zur Eingabe zusätzlicher Authentifizierungsfaktoren aufgefordert
Einige Unternehmen konzentrieren sich zuerst auf diesen "menschlichen" Teil der Identitätssicherheit. Schließlich spielt der Mensch bei Sicherheitsvorfällen nach wie vor eine wichtige Rolle: 82 % der Sicherheitsverletzungen im Jahr 2021 sind auf das menschliche Element zurückzuführen.
Identitätssicherheit in der realen Welt: Der CISO eines großen Beratungsunternehmens, der für die Eindämmung der ausufernden Zugriffsrechte in einem umfangreichen Portfolio verantwortlich war, setzte sich zunächst das Ziel, alle Identitäten von Mitarbeitern und Kunden zu schützen. Sein Team führte eine Reihe von strengen Zugriffsmanagement-Kontrollen ein, um die allgemeine Sicherheitslage des Unternehmens und seine Fähigkeit zur Abwehr von Angriffen in großem Umfang zu verbessern. Durch die Verknüpfung dieser Erfolge mit den steigenden Anforderungen an die Cyber-Versicherung konnte er überzeugende Argumente für ein einheitliches Identitätssicherheitsprogramm liefern. Sein Team führt nun die Verwaltung privilegierter Zugriffe ein, um besser zu verstehen - und gegenüber den Versicherungsträgern nachzuweisen - wer oder was aus welchen Gründen und für wie lange Zugriff auf welche sensiblen Ressourcen hat.
Intelligente Privilegiensteuerung
Zurück zu unserer Freundin Rachel, die Code in der Cloud schreibt - etwas, für das sie auf hochsensible DevOps- und CI/CD-Ressourcen und -Tools zugreifen muss. Rachel hat auch einen praktischen Bot, der ihr im Hintergrund hilft, damit sie sich nicht mit der Übergabe von Code an ein Repository aufhält. Dazu benötigt der Bot privilegierte Anmeldedaten. Einige Bots haben aus Gründen der Effizienz Anmeldedaten oder Geheimnisse in ihre Skripte eingebettet, aber das macht es Angreifern leichter, sie auszuspähen.
Stattdessen werden intelligente Berechtigungskontrollen - das Herzstück der Identitätssicherheit - sowohl auf Rachel (die privilegierte menschliche Identität) als auch auf ihren vertrauenswürdigen Bot (die privilegierte Maschinenidentität) angewendet. Dadurch kann Rachel auf ihren Cloud-Arbeitsbereich zugreifen, allerdings nur mit den minimal erforderlichen Zugriffsrechten und für die kürzeste erforderliche Zeit. In der Zwischenzeit werden die Geheimnisse des Bots zentral gesichert und verwaltet und können genau dann abgerufen werden, wenn sie benötigt werden.
Aber es sind nicht nur privilegierte Identitäten, über die Unternehmen nachdenken müssen. In der heutigen Umgebung können sich sensible Ressourcen überall befinden - und sie sind weithin zugänglich: 68 % der nicht-menschlichen Mitarbeiter oder Bots und 52 % der Angestellten haben Zugang zu sensiblen Daten und Werten. Und praktisch jede Identität kann je nach Kontext privilegierten Zugriff erhalten. Aus diesem Grund beginnen viele Unternehmen ihre Bemühungen um Identitätssicherheit mit der Verwaltung privilegierter Zugriffe.
Identitätssicherheit in der realen Welt: Eine große regionale Bank in Afrika konzentrierte sich beispielsweise zunächst auf die Durchsetzung des Prinzips der geringsten Rechte für alle privilegierten und nicht privilegierten Mitarbeiter, um die neuen Anforderungen des SWIFT Customer Security Controls Framework (CSCF) zu erfüllen. Als COVID-19 aufkam, verlagerte das Identitäts- und Zugriffsmanagement (IAM)-Team der Bank seinen Fokus schnell auf externe Anbieter, um den sicheren Zugriff Dritter auf wichtige interne Ressourcen zu gewährleisten. Durch die Operationalisierung des Onboarding und des Zugriffs von Anbietern bietet das Team schnelle, sichere Verbindungen für Anbieter in 14 verschiedenen Ländern. Das IAM-Team der Bank ist nun bestrebt, den Schutz der Identitätssicherheit auf die Cloud und die Software-Lieferkette der Bank auszuweiten.
Kontinuierliche Erkennung und Prävention von Identitätsbedrohungen
Schauen wir uns noch einmal Rachel an, die privilegierten Zugriff auf die Cloud-Infrastruktur hat, aber auch als "Workforce User" betrachtet wird, der Teil eines hybriden Workforce-Teams ist. Sie hat gerade eine Browser-Registerkarte für eine beliebte Projektmanagement-App geöffnet, um einem Kollegen eine Frage zu stellen. Sicher, es handelt sich um eine alltägliche Interaktion, aber diese App enthält in den Chatdateien zufällig eine Fülle von IP-Daten.
Wenn ein Bedrohungsakteur innerhalb oder außerhalb von Rachels Unternehmen in der Lage wäre, ihr Kennwort zu erraten oder zu stehlen, könnte er sich anmelden, herumstöbern und diese vertraulichen Informationen finden. An dieser Stelle können Berechtigungskontrollen wie Sitzungsüberwachung und KI-gestützte Identity Security Intelligence-Funktionen Bedrohungen früher im Angriffszyklus erkennen. Und automatische Authentifizierungsaufforderungen können als weitere Sicherheitsebene überprüfen, ob die Person, die die Sitzung initiiert hat, auch diejenige ist, die die Anwendung noch nutzt.
Identitätssicherheit in der realen Welt: Bei Impact berichtete ein IAM-Verantwortlicher einer multinationalen Investmentbank, wie die eingeschränkte Sichtbarkeit der Benutzeraktivitäten in webbasierten Anwendungen und Cloud-Konsolen es seinem Team erschwerte, den Missbrauch des Zugriffs auf Geschäftsanwendungen zu erkennen. Dies war besonders besorgniserregend, da webbasierte Verwaltungskonsolen es Benutzern ermöglichen, Konfigurationsänderungen und Aktualisierungen vorzunehmen, die sich auf ganze Unternehmen auswirken können. Durch die Implementierung von Kontrollmechanismen wie kontinuierliche Überwachung und Authentifizierung für diese sensiblen Anwendungen und Tools kann sein Team Produktionsprobleme und riskante Benutzeraktionen schneller erkennen, untersuchen und darauf reagieren, während gleichzeitig ein reibungsloses Benutzererlebnis aufrechterhalten wird.
Flexible Automatisierung und Orchestrierung von Identitäten
Sechs Monate später hat Rachel beschlossen, ihren derzeitigen Arbeitsplatz zu verlassen und eine andere Stelle anzunehmen. Ihr Arbeitgeber hat in den letzten Jahren eine erhebliche Fluktuation erlebt, was den Prozess der manuellen Bereitstellung und Deprovisionierung von Zugriffsrechten zu einem betrieblichen Alptraum machen kann. Glücklicherweise kann das IT-Team des Unternehmens durch die Anwendung von Lifecycle-Management-Kontrollen Rachels Zugriff und Berechtigungen zum richtigen Zeitpunkt automatisch deaktivieren - ohne menschliche Fehler. Dies trägt nicht nur zur Verringerung von Cyberrisiken bei, sondern verhindert auch die Anhäufung von Cybersecurity-Schulden in Form von ungenutzten und falsch konfigurierten Identitäten. In der Zwischenzeit behält der treue Helfer-Bot seinen Zugang und arbeitet weiter zur Unterstützung eines anderen Mitglieds des Entwicklungsteams.
Identitätssicherheit in der realen Welt: In einem anderen Beispiel optimierte ein führendes Biotechnologieunternehmen die Verwaltung von Anwendungszugriffsanfragen im gesamten Unternehmen, setzte MFA für alle externen Netzwerkzugriffe durch und richtete ein hybrides Authentifizierungs- und Autorisierungssystem ein. Bei all dem wurde dem leitenden IT-Architekten des Unternehmens ein Grundsatz ganz klar: Man darf nie den Menschen hinter der Anwendung aus den Augen verlieren. Bei Impact betonte er die Bedeutung eines organisierten Verzeichnisses, das SSO-Anwendungen ihren jeweiligen Besitzern zuordnet, mit redundanten Kontakten, um die Reaktionsfähigkeit bei SSO-Problemen und die Kommunikation bei Änderungen zu verbessern. Er sprach über die Schlüsselrolle der Automatisierung bei der Bereitstellung von IAM-Diensten und darüber, dass sich IDP-Plattformen seiner Meinung nach zunehmend auf die Zuordnung von Anwendungseigentümern und die aktive Einbeziehung dieser Stakeholder in den Lebenszyklus von SSO-Anwendungen konzentrieren werden.
Erste Schritte zur Identitätssicherheit
Wo auch immer Sie Ihre Reise in Sachen Identitätssicherheit beginnen, das Ziel sollte dasselbe sein: Sichern Sie jede menschliche oder maschinelle Identität, die auf die Ressourcen Ihres Unternehmens zugreift, und zwar von jedem beliebigen Ort aus und für ein möglichst breites Spektrum an Ressourcen oder Umgebungen - und das alles auf eine Art und Weise, die durch die Durchsetzung der geringsten Privilegien Zero Trust ermöglicht.
Wie diese Erfolgsgeschichten aus der Praxis zeigen, kann Ihr Unternehmen mit einem einheitlichen Ansatz für die Identitätssicherheit Angriffe effektiv abwehren und die Anforderungen von Audits und Compliance erfüllen, während es gleichzeitig ein neues Maß an betrieblicher Effizienz freisetzt und digitale Innovationen vorantreibt.
Quelle:
Aus dem Englischen automatisiert übersetzt von DeepL Translate – Der präziseste Übersetzer der Welt